Voor vrijwel elke organisatie is het lastig om zich effectief te verdedigen tegen cyberbedreigingen. Vaak kampen ze met personeelstekorten en beperkte budgetten, waardoor een goede balans tussen productiviteit en een optimale beveiliging ver te zoeken is. Daarom vijf best practices voor de implementatie van risico-gebaseerd patchbeheer.
Veel organisaties geven een hogere prioriteit aan vooruitgang, innovatie en productiviteit dan cybersecurity. Denk aan Twitter, waarvan de beveiliging volgens de voormalige beveiligingsbaas om precies die reden veel te wensen overlaat. Dit moedwillig beknibbelen op security is een groot bedrijfsrisico, zeker gezien de sterk toegenomen cyberaanvallen. Zelfs volwaardige security-teams kunnen het allemaal niet meer bijbenen. Wat hierbij kan helpen is het implementeren van een risico-gebaseerde patchbeheeroplossing.
Patching
Risk-based patch management (rbpm) houdt in dat het optreden tegen bedreigingen door middel van patching wordt beperkt tot bedreigingen met de hoogste prioriteit. Dit wordt bepaald op basis van zowel de externe bedreigingscontext als de interne beveiligingsomgeving van een organisatie.
Patching is op zichzelf al niet eenvoudig. Niet voor niets komen beveiligingsteams er nu soms al niet aan toe door de hoge werkdruk. Uit recent onderzoek blijkt dat maar liefst 71 procent van de it- en security-professionals patchen zowel tijdrovend als ingewikkeld vindt. Met een rbpm zijn de risico’s aanzienlijk te verlagen, zonder de werklast te verhogen.
Dit zijn vijf best practices om ermee te beginnen:
- Start met asset-discovery
Om effectief te kunnen patchen, moet je natuurlijk eerst weten wat er allemaal gepatcht moet worden. Elke rbpm-tool moet daarom beginnen met asset-discovery, ofwel het detecteren van devices. Welke bevinden zich op je netwerk? En welke eindgebruikersprofielen gebruiken ze? Voor de pandemie was dit relatief eenvoudig, de meeste bedrijfsmiddelen waren immers op kantoor. Nu worden ze overal en nergens gebruikt, en dit vraagt om een moderne benadering van assetmanagement. Een methode waar ze overal in kaart gebracht, beveiligd en onderhouden worden, zelfs als ze offline zijn.
- Zet iedereen op één lijn
Ondanks de beste bedoelingen zijn it-operations- en beveiligingsteams vaak met elkaar in conflict. Dit komt door de aard van hun rollen en aandachtsgebieden. Rbpm slaat een brug tussen deze organisaties door te eisen dat externe bedreigingen en interne beveiliging samen worden bekeken. Voor een optimale samenwerking moeten beide teams over dezelfde informatie beschikken en de risicoanalyses erkennen. Als iedereen op één lijn zit, is prioriteit te geven aan de meest kritieke kwetsbaarheden voor de gehele organisatie, in plaats van dat it-operations het gevoel heeft altijd achter de feiten aan te lopen.
- Gebruik een sla voor patchbeheer
Beveiligings- en it-operations teams moeten samenwerken om een effectieve rbpm-oplossing te creëren. Toch is dat makkelijker gezegd dan gedaan. Ze moeten er namelijk ook toe in staat worden gesteld en gemotiveerd raken om dit te doen. Dat doe je door middel van een service-level agreement (sla) voor patchbeheer tussen de beveiligings- en it-operationsteams. Dit voorkomt oeverloos gepraat en het helpt om de patchprocessen te standaardiseren. In zo’n sla moeten afdelingsdoelen en bedrijfsbrede doelen voor patchbeheer worden vastgelegd, maar ook best practices en onderhoudsvensters die voor alle partijen acceptabel zijn.
- Gebruik pilotgroepen voor patching
Met een goede rbpm-strategie kunnen it-operations en beveiligingsteams snel en in realtime kritieke kwetsbaarheden identificeren en die zo snel mogelijk patchen. Die snelheid mag echter geen nevenschade veroorzaken, zoals een overhaaste patch die bedrijfskritische software crasht of andere ongewenste problemen veroorzaakt. Pilotgroepen zijn hiervoor de oplossing. Pilotgroepen bestaan uit de belangrijke belanghebbenden die patches in een live omgeving kunnen testen voordat ze breed worden uitgerold. Idealiter weerspiegelen ze de bredere groep van gebruikers die de patch gaan ontvangen. Deze live-tests zijn vaak nauwkeuriger dan een testomgeving, waarin het vooralsnog onmogelijk is om de potentiële downstream-gevolgen van patches perfect te kunnen vaststellen. Als de pilotgroep een catastrofale fout identificeert, kan die snel worden verholpen met minimale gevolgen voor de organisatie. Hierbij is het belangrijk om pilotgroepen vooraf te vormen en op te trainen, zodat dit proces de voortgang van patches niet belemmert.
- Omarm automatisering
Rbpm helpt om kwetsbaarheden efficiënt en effectief te verhelpen en tegelijkertijd om de werklast voor IT-personeel te verlichten. Toch is het nog steeds een zware klus als het patchen handmatig wordt gedaan. Een RBPM-tool met automatiseringsmogelijkheden kan het werk drastisch versnellen, bijvoorbeeld door 24 uur per dag kwetsbaarheden te verzamelen, ze in context te plaatsen en prioriteiten te stellen. Dit kan zelfs het meest getalenteerde IT-team niet evenaren. Met automatisering is het bovendien mogelijk om een patch-implementatie te segmenteren om te testen op de resultaten en downstream-gevolgen, bijvoorbeeld op basis van verschillende pilotgroepen. Verder is het automatisch identificeren, prioriteren en installeren van patches, zonder overmatige menselijke handelingen, zeer effectief om de cyberrisico’s te verlagen.
Om nog eens terug te grijpen op het eerdergenoemde voorbeeld van Twitter: bij ongeveer dertig procent van de laptops van het bedrijf werden automatische software-updates geblokkeerd! Naast andere beveiligingsproblemen, resulteerde dit in meer dan vijftig incidenten bij Twitter in het afgelopen jaar. Reden temeer dus om automatisering te omarmen.
Nuances
Een rbpm-oplossing is altijd afhankelijk van de specifieke nuances van een organisatie. Denk aan het type gebruikers, de gebruikte softwareoplossingen, de werkprofielen, het publieke imago van de organisatie of de waarde van de bedrijfsgegevens. Daarom bestaat er ook geen standaard rbpm-strategie. Toch bieden deze best practices een goede basis voor elk rbpm-programma, waarmee een organisatie zijn beveiliging op een hoger niveau kan brengen.
